Lab 1-2
Analyze the file Lab01-02.exe
Q1. Upload the Lab01-02.exe file to http://www.VirusTotal.com/. Does it match
any existing antifirus definitions?
A: Trojan 이라고 나오네...
Q2. Are there any indications that this file is packed or obfuscated?
If so, what are these indicators? If the file is packed, unpack it if possible.
A: UPX v3.0 Packing 되어 있다.
upx.exe로 잘~ 풀린다.
> upx.exe -d Lab01-01.exe
Q3. Do any imports hint at this program's functionality?
If so, which imports are they and what do they tell you?
A: WinINet.dll의 InternetOpen / Url로 웹페이지에 접속한다.
ADVAPI32.dll의 CreateServiceA로 서비스로 실행된다.
SystemTimeToFileTime으로 파일 시간을 위장? 할 수 있고,
CreateMutex/OpenMutex와 WaitForSingleObject로 내가 실행 중인지 알거나,
무엇을 위해 대기 할 수 있다.
Q4. What host- or network-based indicators could be used to identify this malware
on infected machines?
A: 시스템에 멀웨어가 생성한 뮤텍스가 존재하는가?
혹은 "MalServices" 서비스가 실행/존재 하는가?
댓글 없음:
댓글 쓰기